进程名单生成方法及装置、异常进程检测方法及装置

摘要

本申请提出一种进程名单生成方法及装置、异常进程检测方法及装置，其中进程名单生成方法包括：获取各个主机上报的进程执行记录；根据进程执行记录以及预设的待分析条件，生成待分析的进程执行记录集合；对进程执行记录集合中的进程执行记录按照主机标识以及父进程标识进行分组，得到各个分组；针对每个分组，对分组内的各个进程执行记录按照进程执行命令之间的相似度进行聚类，得到各个簇；根据各个簇中进程执行记录的执行时间点分布，生成进程名单。实现了根据各个主机上报的进程执行记录的进程执行命令之间的相似度以及进程执行记录的执行时间点分布，动态学习出进程名单，使得通过进程名单进行异常进程检测时的误报率降低，且提高了覆盖率。

说明书

技术领域

本申请涉及网络安全技术领域，尤其涉及一种进程名单生成方法及装置、异常进程检测方法及装置。

背景技术

随着互联网技术的发展，网络安全越来越受到人们的重视。目前，应用系统不可避免的会存在漏洞，攻击者可以在未授权的情况下，利用漏洞访问或破坏系统，从而对系统造成损失，因此，如何准确检测到漏洞被利用对于维护网络安全是很重要的。

相关技术中，一般是通过检测系统是否执行了预先配置好的危险命令，例如修改crontab命令、修改启动项等等，来检测主机上是否存在命令执行漏洞被利用，这种检测方式的误报率较高，且只能检测有限的命令执行记录，覆盖率较低。

发明内容

本申请的目的旨在至少在一定程度上解决上述技术问题之一。

为此，本申请的第一个目的在于提出一种进程名单生成方法，该方法通过获取各个主机上报的进程执行记录，并根据进程执行记录的进程执行命令之间的相似度以及进程执行记录的执行时间点分布，学习出进程名单，以通过学习出的进程名单进程异常进程检测，解决了相关技术中通过检测系统是否执行了预先配置好的危险命令来检测主机上是否存在命令执行漏洞被利用的方法存在的误报率较高且覆盖率较低的问题。

本申请的第二个目的在于提出一种异常进程检测方法。

本申请的第三个目的在于提出一种进程名单生成装置。

本申请的第四个目的在于提出一种异常进程检测装置。

本申请的第五个目的在于提出一种电子设备。

本申请的第六个目的在于提出一种非临时性计算机可读存储介质。

为达上述目的，本申请第一方面实施例提出了一种进程名单生成方法，包括：获取各个主机上报的进程执行记录，其中，所述进程执行记录包括：执行时间点、主机标识、进程属性以及父进程属性；所述进程属性包括：进程路径和进程执行命令；所述父进程属性包括：父进程标识和父进程路径；根据所述各个主机上报的进程执行记录以及预设的待分析条件，生成待分析的进程执行记录集合，其中，所述待分析条件包括：执行时间点位于第一预设时间段内，进程路径中包括第一内容，且父进程路径中未包括第二内容；对所述进程执行记录集合中的进程执行记录按照主机标识以及父进程标识进行分组，得到各个分组；针对每个分组，对所述分组内的各个进程执行记录按照进程执行命令之间的相似度进行聚类，得到各个簇；根据各个簇中进程执行记录的执行时间点分布，生成进程名单。

本申请实施例的进程名单生成方法，首先获取各个主机上报的进程执行记录，然后根据各个主机上报的进程执行记录以及预设的待分析条件，生成待分析的进程执行记录集合，再对进程执行记录集合中的进程执行记录按照主机标识以及父进程标识进行分组，得到各个分组，接着针对每个分组，对分组内的各个进程执行记录按照进程执行命令之间的相似度进行聚类，得到各个簇，最后根据各个簇中进程执行记录的执行时间点分布，生成进程名单。由此，实现了根据各个主机上报的进程执行记录的进程执行命令之间的相似度以及进程执行记录的执行时间点分布，动态学习出进程名单，进而使得通过学习出的进程名单进行异常进程检测时的误报率降低，且扩大了检测的覆盖范围，提高了覆盖率。

为达上述目的，本申请第二方面实施例提出了一种异常进程检测方法，包括：获取待检测的进程执行记录，其中，所述进程执行记录包括：执行时间点、进程属性以及父进程属性；所述进程属性包括：进程路径和进程执行命令；所述父进程属性包括：父进程路径；根据所述进程执行记录以及预设的待分析条件，确定所述进程执行记录是否满足所述待分析条件，其中，所述待分析条件包括：执行时间点位于第一预设时间段内，进程路径中包括第一内容，且父进程路径中未包括第二内容；在所述进程执行记录满足所述待分析条件时，根据所述进程执行记录中的进程执行命令查询白名单，判断所述白名单中是否存在与所述进程执行记录相似度满足预设相似度阈值的第一进程执行记录，其中，所述白名单采用如第一方面实施例所述的进程名单生成方法生成；在所述白名单中未存在与所述进程执行记录相似度满足预设相似度阈值的第一进程执行记录时，对所述进程执行记录对应的进程进行异常进程告警提示。

本申请实施例的异常进程检测方法，首先获取待检测的进程执行记录，然后根据进程执行记录以及预设的待分析条件，确定进程执行记录是否满足待分析条件，在进程执行记录满足待分析条件时，根据进程执行记录中的进程执行命令查询白名单，判断白名单中是否存在与进程执行记录相似度满足预设相似度阈值的第一进程执行记录，其中，白名单采用如第一方面实施例的进程名单生成方法生成，在白名单中未存在与进程执行记录相似度满足预设相似度阈值的第一进程执行记录时，对进程执行记录对应的进程进行异常进程告警提示，在在白名单中存在与进程执行记录相似度满足预设相似度阈值的第一进程执行记录时，确定进程执行记录对应的进程为正常进程。由此，通过利用学习出的白名单检测待检测的进程执行记录是否异常，降低了检测的误报率，且扩大了检测的覆盖范围，提高了覆盖率。

为达上述目的，本申请第三方面实施例提出了一种进程名单生成装置，包括：第一获取模块，用于获取各个主机上报的进程执行记录，其中，所述进程执行记录包括：执行时间点、主机标识、进程属性以及父进程属性；所述进程属性包括：进程路径和进程执行命令；所述父进程属性包括：父进程标识和父进程路径；第一生成模块，用于根据所述各个主机上报的进程执行记录以及预设的待分析条件，生成待分析的进程执行记录集合，其中，所述待分析条件包括：执行时间点位于第一预设时间段内，进程路径中包括第一内容，且父进程路径中未包括第二内容；分组模块，用于对所述进程执行记录集合中的进程执行记录按照主机标识以及父进程标识进行分组，得到各个分组；聚类模块，用于针对每个分组，对所述分组内的各个进程执行记录按照进程执行命令之间的相似度进行聚类，得到各个簇；第二生成模块，用于根据各个簇中进程执行记录的执行时间点分布，生成进程名单。

本申请实施例的进程名单生成装置，首先获取各个主机上报的进程执行记录，然后根据各个主机上报的进程执行记录以及预设的待分析条件，生成待分析的进程执行记录集合，再对进程执行记录集合中的进程执行记录按照主机标识以及父进程标识进行分组，得到各个分组，接着针对每个分组，对分组内的各个进程执行记录按照进程执行命令之间的相似度进行聚类，得到各个簇，最后根据各个簇中进程执行记录的执行时间点分布，生成进程名单。由此，实现了根据各个主机上报的进程执行记录的进程执行命令之间的相似度以及进程执行记录的执行时间点分布，动态学习出进程名单，进而使得通过学习出的进程名单进行异常进程检测时的误报率降低，且扩大了检测的覆盖范围，提高了覆盖率。

为达上述目的，本申请第四方面实施例提出了一种异常进程检测装置，包括：第三获取模块，用于获取待检测的进程执行记录，其中，所述进程执行记录包括：执行时间点、进程属性以及父进程属性；所述进程属性包括：进程路径和进程执行命令；所述父进程属性包括：父进程路径；第三确定模块，用于根据所述进程执行记录以及预设的待分析条件，确定所述进程执行记录是否满足所述待分析条件，其中，所述待分析条件包括：执行时间点位于第一预设时间段内，进程路径中包括第一内容，且父进程路径中未包括第二内容；查询模块，用于在所述进程执行记录满足所述待分析条件时，根据所述进程执行记录中的进程执行命令查询白名单；判断模块，用于判断所述白名单中是否存在与所述进程执行记录相似度满足预设相似度阈值的第一进程执行记录，其中，所述白名单采用如第一方面实施例所述的进程名单生成方法生成；第二提示模块，用于在所述白名单中未存在与所述进程执行记录相似度满足预设相似度阈值的第一进程执行记录时，对所述进程执行记录对应的进程进行异常进程告警提示。

本申请实施例的异常进程检测装置，首先获取待检测的进程执行记录，然后根据进程执行记录以及预设的待分析条件，确定进程执行记录是否满足待分析条件，在进程执行记录满足待分析条件时，根据进程执行记录中的进程执行命令查询白名单，判断白名单中是否存在与进程执行记录相似度满足预设相似度阈值的第一进程执行记录，其中，白名单采用如第一方面实施例的进程名单生成方法生成，在白名单中未存在与进程执行记录相似度满足预设相似度阈值的第一进程执行记录时，对进程执行记录对应的进程进行异常进程告警提示，在在白名单中存在与进程执行记录相似度满足预设相似度阈值的第一进程执行记录时，确定进程执行记录对应的进程为正常进程。由此，通过利用学习出的白名单检测待检测的进程执行记录是否异常，降低了检测的误报率，且扩大了检测的覆盖范围，提高了覆盖率。

为达上述目的，本申请第五方面实施例提出了一种电子设备，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如第一方面所述的进程名单生成方法，和/或如第二方面所述的异常进程检测方法。

为达上述目的，本申请第六方面实施例提出了一种非临时性计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如第一方面所述的进程名单生成方法，和/或如第二方面所述的异常进程检测方法。

本申请附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本申请的实践了解到。

附图说明

本申请上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：

图1为根据本申请一个实施例的进程名单生成方法的流程示意图；

图2为根据本申请另一个实施例的进程名单生成方法的流程示意图；

图3为根据本申请一个实施例的异常进程检测方法的流程示意图；

图4为根据本申请一个实施例的进程名单生成方法及异常进程检测方法的流程示意图；

图5为根据本申请一个实施例的进程名单生成装置的结构示意图；

图6为根据本申请一个实施例的异常进程检测装置的结构示意图；

图7为根据本申请一个实施例的电子设备的结构示意图。

具体实施方式

下面详细描述本申请的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本申请，而不能理解为对本申请的限制。

下面参考附图描述本申请实施例的进程名单生成方法及装置、异常进程检测方法及装置、电子设备以及非临时性计算机可读存储介质。

可以理解的是，相关技术中，一般是通过检测系统是否执行了预先配置好的危险命令，例如修改crontab命令、修改启动项等等，来检测主机上是否存在命令执行漏洞被利用，这种检测方式的误报率较高，且只能检测有限的命令执行记录，覆盖率较低。

本申请各实施例针对上述技术问题，提出一种根据满足预设的待分析条件的进程执行记录的进程执行命令间的相似度，及进程执行记录的执行时间点分布，动态学习生成进程名单的方法，由于进程名单是通过动态学习生成的，能够适用于多种业务场景，从而在通过学习出的进程名单进行异常进程检测时，能够降低检测的误报率，且通过学习生成的进程名单能够检测主机所有进程执行记录是否异常，扩大了检测的覆盖范围，提高了覆盖率。

下面结合图1，对本申请提供的进程名单生成方法进行详细说明。

图1为本申请实施例提供的一种进程名单生成方法的流程示意图。如图1所示，该进程名单生成方法包括以下步骤：

步骤101，获取各个主机上报的进程执行记录。

其中，进程执行记录包括：执行时间点、主机标识、进程属性以及父进程属性；进程属性包括：进程路径和进程执行命令；父进程属性包括：父进程标识和父进程路径。

具体的，本申请提供的进程名单生成方法，可以被配置在大数据分析平台上执行，以根据各个主机上报的进程执行记录，动态学习出进程名单，从而降低利用进程名单进行异常进程检测时的误报率，扩大检测的覆盖范围，提高覆盖率。

具体的，进程执行记录可以是各个主机实时向大数据分析平台上报的，也可以是各个主机每隔预设时间段向大数据分析平台上报的，例如每天的固定时间向大数据分析平台上报一天内的进程执行记录，或者每隔3天上报近3天的进程执行记录，等等，本申请对此不作限制。

步骤102，根据各个主机上报的进程执行记录以及预设的待分析条件，生成待分析的进程执行记录集合。

可以理解的是，进程是由父进程创建的，进程的进程路径中包含某参数时，父进程路径中一般也会包括该参数，这样的进程才是正常的进程，若某个进程的进程路径中包含某参数，而父进程路径中并不包括该参数，则表示该进程可能是异常进程。举例来说，假设进程A的进程路径中包含BASH参数，父进程路径中不包含SSH参数和BASH参数，则表示进程A可能是异常进程。或者，假设进程B的进程路径中包含SH参数，而父进程路径中并不包含SSH参数和SH参数，则表示进程B可能是异常进程。

本申请实施例中，可以先根据各个主机上报的进程执行记录以及预设的待分析条件，将可能异常的进程对应的进程执行记录挑选出来，并根据这些进程执行记录生成待分析的进程执行记录集合。

其中，待分析条件可以包括：执行时间点位于第一预设时间段内，进程路径中包括第一内容，且父进程路径中未包括第二内容。

第一预设时间段可以根据需要任意设置，例如，可以将第一预设时间段设置为当前时间之前的30天内或者40天内，等等，本申请对此不作限制。

第一内容可以包括以下内容中的至少一种：BASH参数、SH参数、CMD参数、POWERSHELL参数；第二内容可以包括：第一内容和SSH参数。

具体实现时，可以分别判断各个主机上报的各进程执行记录是否满足预设的待分析条件，从而根据满足预设的待分析条件的进程执行记录，生成待分析的进程执行记录集合。

举例来说，假设第一预设时间段为2020年7月1日至2020年7月31日之间。进程执行记录1包括的执行时间点为2020年7月1日，进程路径中包括BASH参数，父进程路径中包括BASH参数和SSH参数；进程执行记录2包括的执行时间点为2020年6月3日，进程路径中包括SH参数，父进程路径中不包括SH参数和SSH参数；进程执行记录3包括的执行时间点为2020年7月4日，进程路径中包括CMD参数，父进程路径中不包括CMD参数和SSH参数；进程执行记录4包括的执行时间点为2020年7月5日，进程路径中包括POWERSHELL参数，父进程路径中不包括POWERSHELL参数和SSH参数；进程执行记录5包括的执行时间点为2020年7月6日，进程路径中包括BASH参数和SH参数，父进程路径中不包括BASH参数、SH参数和SSH参数。

则由于进程执行记录1、3、4、5的执行时间点位于第一预设时间段内，进程执行记录2、3、4、5包括的进程路径中包括第一内容，父进程路径中未包括第一内容和SSH参数，即进程执行记录3、4、5满足预设的待分析条件，则可以生成包括进程执行记录3、4、5的进程执行记录集合。

通过根据满足预设的待分析条件的进程执行记录生成待分析的进程执行记录集合，进而根据进程执行记录集合生成进程名单，可以减少进程名单中正常进程的进程执行记录的数量。由于后续通过进程名单进行异常进程检测时，是通过将待检测进程执行记录与白名单中的各进程执行记录进行相似度匹配，因此通过进程执行记录集合生成进程名单，可以减少后续通过白名单进行异常进程检测时所需匹配的白名单中的进程执行记录的数量，从而减少异常进程检测时的工作量。

需要说明的是，在实际应用中，不同的业务场景对于预设的待分析条件中的第一预设时间段的要求可能是不同的，不同的业务场景下，可能为异常进程的进程路径和父进程路径中包括的内容可能也是不同的，那么，在本申请实施例中，还可以根据业务场景来设置待分析条件。

举例来说，假设各个主机上报的进程执行记录中，执行时间点在7月1日至7月31日之间的进程执行记录均是对应任务1的，执行时间点在8月1日至8月15日之间的进程执行记录均是对应任务2的，而执行不同的任务时，进程路径和父进程路径中包括的内容可能是不同的，相应的，可能为异常进程的进程路径和父进程路径中包括的内容也不相同。那么，本申请实施例中，对于任务1对应的各进程执行记录，可以设置待分析条件1包括的第一预设时间段为7月1日至7月31日之间，对于任务2对应的各进程执行记录，可以设置待分析条件2包括的第一预设时间段为8月1日至8月15日之间，且待分析条件1和待分析条件2中，进程路径中包括的第一内容不同，父进程路径中未包括的第二内容也不同。

即，在步骤102之前，还可以包括：

确定业务场景；

获取与业务场景对应的待分析条件，并将与业务场景对应的待分析条件确定为预设的待分析条件。

在示例性实施例中，不同的业务场景，可以对应不同的第一预设时间段，或者，可以对应不同的第一内容和第二内容，或者，可以对应不同的第一预设时间段、第一内容和第二内容，从而大数据分析平台可以在确定业务场景后，获取与业务场景对应的第一预设时间段、第一内容和第二内容，以获取与业务场景对应的待分析条件，从而将与业务场景对应的待分析条件确定为预设的待分析条件。

步骤103，对进程执行记录集合中的进程执行记录按照主机标识以及父进程标识进行分组，得到各个分组。

具体的，可以将进程执行记录集合中，包括相同主机标识以及父进程标识的进程执行记录分在同一分组中，以得到各个分组。

步骤104，针对每个分组，对分组内的各个进程执行记录按照进程执行命令之间的相似度进行聚类，得到各个簇。

具体的，可以预先设置相似度阈值，并且针对每个分组，可以计算分组中任意两个进程执行记录的进程执行命令之间的相似度，然后可以判断各个相似度是否大于预设的相似度阈值，从而将对应的相似度大于预设的相似度阈值的进程执行记录聚类在一起，得到各个簇。

其中，相似度阈值，可以根据需要任意设置，本申请对此不作限制。

需要说明的是，在实际应用中，可以通过相关技术中的任意相似度算法，计算两个进程执行命令之间的相似度，例如可以计算两个进程执行命令之间的欧式距离、皮尔逊相关系数等以确定两个进程执行命令之间的相似度，本申请对此不作限制。

举例来说，假设预先设置相似度阈值为80％，并且假设某个分组中包括10个进程执行记录，其中，进程执行记录1、进程执行记录2、进程执行记录3、进程执行记录4中任意两个进程执行记录的进程执行命令之间的相似度均大于80％，进程执行记录5、进程执行记录6和进程执行记录7中任意两个进程执行记录的进程执行命令之间的相似度均大于80％，进程执行记录8和进程执行记录9的进程执行命令之间的相似度大于80％，进程执行记录10的进程执行命令与其它进程执行记录的进程执行命令之间的相似度均小于80％，则可以将进程执行记录1、进程执行记录2、进程执行记录3、进程执行记录4聚类在一起，得到一个簇，将进程执行记录5、进程执行记录6和进程执行记录7聚类在一起，得到一个簇，将进程执行记录8和进程执行记录9聚类在一起，得到一个簇，而进程执行记录10单独为一个簇。

步骤105，根据各个簇中进程执行记录的执行时间点分布，生成进程名单。

具体的，可以预先设置分布条件，然后针对每个簇，可以确定簇中各进程执行记录的执行时间点分布，再判断簇中进程执行记录的执行时间点分布是否满足预设分布条件，若满足，则将簇中的任意一个进程执行记录添加到白名单中，若不满足，则将簇中的任意一个进程执行记录添加到黑名单中。

其中，预设分布条件，可以根据正常情况下进程执行记录的执行时间点分布规律进行设置。比如，正常情况下，相似度较高的进程执行记录的执行时间点在一段时间内通常是连续的，则预设分布条件可以包括：簇中进程执行记录的执行时间点在预设的时间段内连续；或者，正常情况下，在一段时间内，相似度较高的进程执行命令通常是频繁执行的，则预设分布条件可以包括：簇中的执行时间点在第三预设时间段内的进程执行记录的个数大于预设个数阈值。其中，第三预设时间段，可以根据需要灵活设置，本申请对此不作限制。

举例来说，假设某个簇A1中包括5个进程执行记录，且5个进程执行记录的执行时间点为5天内的连续时间点，则可以确定簇A1中进程执行记录的执行时间点分布满足预设分布条件，则可以将该簇A1中任意一个进程执行记录添加到白名单中。

或者，假设预设个数阈值为3，假设某个簇A2中包括5个进程执行记录，其中，进程执行记录1-3的执行时间点为7月1日，进程执行记录4的执行时间点为7月3日，进程执行记录5的执行时间点为7月6日，虽然该簇A2中的5个进程执行记录的执行时间点不全为连续时间点，但是执行时间点在7月1日至7月6日间的进程执行记录的个数5大于预设个数阈值3，则可以确定簇A2中进程执行记录的执行时间点分布满足预设分布条件，则可以将该簇A2中任意一个进程执行记录添加到白名单中。

或者，假设某个簇A3中包括2个进程执行记录，进程执行记录1的执行时间点为7月1日，进程执行记录2的执行时间点为7月5日，由于2个进程执行记录的执行时间点不连续，且执行时间点在7月1日至7月5日间的进程执行记录的个数2小于预设个数阈值3，则可以确定簇A3中进程执行记录的执行时间点分布不满足预设分布条件，则可以将该簇A3中任意一个进程执行记录添加到黑名单中。

通过上述过程，即可生成进程白名单和进程黑名单。

可以理解的是，本申请实施例中的进程名单，是根据执行时间点在第一预设时间段内，进程路径包括第一内容、父进程路径未包括第二内容的进程执行记录的进程执行命令之间的相似度，及这些进程执行记录的执行时间点分布，动态学习生成的，能够适用于多种业务场景，因此在通过该进程名单进行异常进程检测时，能够降低检测的误报率，且通过学习生成的进程名单能够检测主机所有进程执行记录是否异常，扩大了检测的覆盖范围，提高了覆盖率。

本申请实施例提供的进程名单生成方法，首先获取各个主机上报的进程执行记录，然后根据各个主机上报的进程执行记录以及预设的待分析条件，生成待分析的进程执行记录集合，再对进程执行记录集合中的进程执行记录按照主机标识以及父进程标识进行分组，得到各个分组，接着针对每个分组，对分组内的各个进程执行记录按照进程执行命令之间的相似度进行聚类，得到各个簇，最后根据各个簇中进程执行记录的执行时间点分布，生成进程名单。由此，实现了根据各个主机上报的进程执行记录的进程执行命令之间的相似度以及进程执行记录的执行时间点分布，动态学习出进程名单，进而使得通过学习出的进程名单进行异常进程检测时的误报率降低，且扩大了检测的覆盖范围，提高了覆盖率。

通过上述分析可知，本申请实施例中，大数据分析平台可以根据各个主机上报的进程执行记录的进程执行命令之间的相似度以及进程执行记录的执行时间点分布，自动学习出进程名单，在实际应用中，大数据分析平台学习出的进程名单可能存在个别的错误，下面针对上述情况，结合图2，对本申请提供的进程名单生成方法进行进一步说明。

图2为本申请实施例提供的另一种进程名单生成方法的流程示意图。如图2所示，该进程名单生成方法包括以下步骤：

步骤201，获取各个主机上报的进程执行记录。

其中，进程执行记录包括：执行时间点、主机标识、进程属性以及父进程属性；进程属性包括：进程路径和进程执行命令；父进程属性包括：父进程标识和父进程路径。

步骤202，确定业务场景。

步骤203，获取与业务场景对应的待分析条件，并将与业务场景对应的待分析条件确定为预设的待分析条件。

需要说明的是，步骤202-203可以在步骤201之后执行，也可以在步骤201之前执行，本申请对此不作限制，只需在步骤204之前执行即可。

步骤204，根据各个主机上报的进程执行记录以及预设的待分析条件，生成待分析的进程执行记录集合。

其中，待分析条件包括：执行时间点位于第一预设时间段内，进程路径中包括第一内容，且父进程路径中未包括第二内容。

步骤205，对进程执行记录集合中的进程执行记录按照主机标识以及父进程标识进行分组，得到各个分组。

其中，上述步骤201-205的具体实现过程及原理，可以参考上述实施例的详细描述，此处不再赘述。

步骤206，针对每个分组，对分组内的各个进程执行记录按照进程执行命令之间的相似度进行聚类，得到各个簇。

具体的，可以预先设置相似度阈值，并且针对每个分组，可以计算分组中任意两个进程执行记录的进程执行命令之间的相似度，然后可以将对应的相似度满足预设相似度阈值的进程执行记录聚类在一起，得到各个簇。

在示例性实施例中，可以判断各个相似度是否大于预设的相似度阈值，从而将对应的相似度大于预设的相似度阈值的进程执行记录聚类在一起，得到各个簇。

其中，相似度阈值，可以根据需要任意设置，本申请对此不作限制。

步骤207，针对每个簇，确定簇中进程执行记录的执行时间点分布。

步骤208，判断簇中进程执行记录的执行时间点分布是否满足预设分布条件，若是，则执行步骤209，否则，执行步骤210。

步骤209，将簇中的任意一个进程执行记录添加到白名单中。

步骤210，将簇中的任意一个进程执行记录添加到黑名单中。

具体的，可以预先设置分布条件，然后针对每个簇，可以确定簇中各进程执行记录的执行时间点分布，再判断簇中进程执行记录的执行时间点分布是否满足预设分布条件，若满足，则将簇中的任意一个进程执行记录添加到白名单中，若不满足，则将簇中的任意一个进程执行记录添加到黑名单中。

其中，预设分布条件，可以根据正常情况下进程执行记录的执行时间点分布规律进行设置。比如，正常情况下，相似度较高的进程执行记录的执行时间点在一段时间内通常是连续的，则预设分布条件可以包括：簇中进程执行记录的执行时间点在预设的时间段内连续；或者，正常情况下，在一段时间内，相似度较高的进程执行命令通常是频繁执行的，则预设分布条件可以包括：簇中的执行时间点在第三预设时间段内的进程执行记录的个数大于预设个数阈值。其中，第三预设时间段，可以根据需要灵活设置，本申请对此不作限制。

举例来说，假设下表1中的进程执行记录的主机标识和父进程标识均相同，即下表1中的进程执行记录在一个分组X中。其中，“20200101”表示执行时间点为2020年1月1日，“20200102”表示执行时间点为2020年1月2日，“20200103”表示执行时间点为2020年1月3日，“20200104”表示执行时间点为2020年1月4日。

表1分组X内的各个进程执行记录

则对于分组X，可以计算分组X中任意两个进程执行记录的进程执行命令之间的相似度，由于表1中前4个进程执行记录的进程执行命令之间的相似度大于预设相似度阈值，第5个进程执行记录的进程执行命令与其它进程执行记录的进程执行命令之间的相似度均小于预设相似度阈值，则可以将前4个进程执行记录聚类在一起，形成一个如下表2所示的簇Y，第5个进程执行记录单独为一个簇Z。

表2簇Y内的各个进程执行记录

由于簇Y内的进程执行记录的执行时间点从2020年1月1日至2020年1月4日连续，则可以确定簇Y中进程执行记录的执行时间点分布满足预设分布条件，则可以将簇Y中任意一个进程执行记录添加到白名单中。

由于簇Z中仅包括一个进程执行记录，进程执行记录的执行时间点分布不满足预设分布条件，则可以将簇Z中的一个进程执行记录添加到黑名单中。

步骤211，将白名单和黑名单推送给用户。

步骤212，判断在第二预设时间段内是否接收到用户提供的更新后白名单和更新后黑名单，若是，则执行步骤213，否则，执行步骤214。

步骤213，将更新后白名单和更新后黑名单作为进程名单。

步骤214，将更新前的白名单和黑名单作为进程名单。

具体的，在大数据分析平台生成白名单和黑名单后，可以将白名单和黑名单推送给用户进行人工干预，用户可以对大数据分析平台生成的白名单和黑名单中错误的进程执行记录进行修改，例如将白名单中的进程执行记录移到黑名单中，或者将黑名单中的进程执行记录移到白名单中，从而实现用户对黑名单和白名单的更新。

在示例性实施例中，可以设置一个第二预设时间段，并设置若大数据分析平台在第二预设时间段内接收到用户提供的更新后白名单和更新后黑名单，则可以将更新后的白名单和更新后的黑名单作为最新的进程名单，若在第二预设时间段内未接收到用户提供的更新后白名单和更新后黑名单，则可以将大数据分析平台在步骤209、210中生成的白名单和黑名单即用户未更新的白名单和黑名单作为最新的进程名单。

通过将大数据分析平台生成的进程名单推送给用户，进而通过人工干预对大数据分析平台生成的进程名单进行修改，进一步降低了利用进程名单进行异常进程检测的误报率。

进一步的，大数据分析平台生成白名单后，即可将白名单推送给规则引擎，以使规则引擎结合白名单进行异常进程检测。

另外，大数据分析平台生成的黑名单中的进程执行记录为异常进程执行记录，可以将黑名单中的进程执行记录提供给用户，以使用户能够通过异常进程执行记录了解到系统命令执行漏洞被利用。即，在示例性实施例中，步骤213、214之后，还可以包括：根据黑名单进行异常进程告警提示；将白名单推送给规则引擎，以结合白名单进行异常进程检测。

本申请通过的进程名单生成方法，获取各个主机上报的进程执行记录后，可以确定业务场景，然后获取与业务场景对应的待分析条件，并将与业务场景对应的待分析条件确定为预设的待分析条件，再根据各个主机上报的进程执行记录以及预设的待分析条件，生成待分析的进程执行记录集合，然后对进程执行记录集合中的进程执行记录按照主机标识以及父进程标识进行分组，得到各个分组，再针对每个分组，对分组内的各个进程执行记录按照进程执行命令之间的相似度进行聚类，得到各个簇，针对每个簇，确定簇中进程执行记录的执行时间点分布，再在簇中进程执行记录的执行时间点分布满足预设分布条件时，将簇中的任意一个进程执行记录添加到白名单中，在簇中进程执行记录的执行时间点分布不满足预设分布条件时，将簇中的任意一个进程执行记录添加到黑名单中，再将白名单和黑名单推送给用户，若在第二预设时间段内接收到用户提供的更新后白名单和更新后黑名单，则将更新后白名单和更新后黑名单作为进程名单，若在第二预设时间段内未接收到用户提供的更新后白名单和更新后黑名单，则将更新前的白名单和黑名单作为进程名单。由此，实现了根据各个主机上报的进程执行记录的进程执行命令之间的相似度以及进程执行记录的执行时间点分布，动态学习出进程名单，进而使得通过学习出的进程名单进行异常进程检测时的误报率降低，且扩大了检测的覆盖范围，提高了覆盖率，并且通过将大数据分析平台生成的进程名单推送给用户，进而通过人工干预对大数据分析平台生成的进程名单进行修改，进一步降低了利用进程名单进行异常进程检测的误报率。

基于上述实施例，本申请还提供一种异常进程检测方法。下面结合图3，对本申请实施例提供的异常进程检测方法进行说明。

图3为本申请实施例提供的一种异常进程检测方法的流程示意图。如图3所示，该异常进程检测方法包括以下步骤：

步骤301，获取待检测的进程执行记录。

其中，进程执行记录包括：执行时间点、进程属性以及父进程属性；进程属性包括：进程路径和进程执行命令；父进程属性包括：父进程路径。

具体的，本申请提供的异常进程检测方法，可以被配置在规则引擎上执行，以结合通过前述实施例的进程名单生成方法生成的进程名单，进行异常进程检测，从而降低异常进程检测的误报率，扩大检测的覆盖范围，提高覆盖率。

具体的，待检测的进程执行记录，可以由各个主机实时向规则引擎上报，以实现对待检测的进程执行记录的实时检测，或者，也可以由各个主机每隔预设时间段向规则引擎上报，例如每天的固定时间向规则引擎上报一天内的进程执行记录，或者每隔3天上报近3天的进程执行记录，等等，本申请对此不作限制。

步骤302，根据进程执行记录以及预设的待分析条件，确定进程执行记录是否满足待分析条件。

其中，待分析条件包括：执行时间点位于第一预设时间段内，进程路径中包括第一内容，且父进程路径中未包括第二内容。

在示例性实施例中，第一内容可以包括以下内容中的至少一种：BASH参数、SH参数、CMD参数、POWERSHELL参数；第二内容可以包括：第一内容和SSH参数。

步骤303，在进程执行记录满足待分析条件时，根据进程执行记录中的进程执行命令查询白名单。

可以理解的是，进程是由父进程创建的，进程的进程路径中包含某参数时，父进程路径中一般也会包括该参数，这样的进程才是正常的进程，若某个进程的进程路径中包含某参数，而父进程路径中并不包括该参数，则表示该进程可能是异常进程。举例来说，假设进程A的进程路径中包含BASH参数，父进程路径中不包含SSH参数和BASH参数，则表示进程A可能是异常进程。或者，假设进程B的进程路径中包含SH参数，而父进程路径中并不包含SSH参数和SH参数，则表示进程B可能是异常进程。

本申请实施例中，可以先根据待检测的进程执行记录以及预设的待分析条件，预先判断待检测的进程执行记录是否可能为异常的进程执行记录，若确定待检测的进程执行记录可能为异常的进程执行记录，再进行白名单查询。

具体实现时，可以判断待检测的进程执行记录是否满足预设的待分析条件，若满足，则确定待检测的进程执行记录可能为异常的进程执行记录。

举例来说，假设待检测的进程执行记录1包括的进程路径中包括BASH参数，父进程路径中包括BASH参数和SSH参数；待检测的进程执行记录2包括的进程路径中包括SH参数，父进程路径中不包括SH参数和SSH参数。

则由于进程执行记录1包括的进程路径中包括第一内容，父进程路径中包括第二内容，则可以确定进程执行记录1为异常的进程执行记录的可能性很小，则可以不根据进程执行记录1进行白名单查询。由于进程执行记录2包括的进程路径中包括第一内容，父进程路径中未包括第一内容和SSH参数，则可以确定进程执行记录2可能为异常的进程执行记录，则可以继续对进程执行记录2进行白名单查询。

通过先判断待检测的进程执行记录是否满足待分析条件，再根据判断结果确定是否进行白名单查询，可以减少规则引擎进行异常进程检测时的工作量。

步骤304，判断白名单中是否存在与进程执行记录相似度满足预设相似度阈值的第一进程执行记录，若是，则执行步骤306，否则，执行步骤305。

其中，白名单采用如前述实施例提供的进程名单生成方法生成。

步骤305，对进程执行记录对应的进程进行异常进程告警提示。

步骤306，确定进程执行记录对应的进程为正常进程。

具体的，可以预先设置相似度阈值，并计算白名单中各进程执行记录的进程执行命令与待检测的进程执行记录的进程执行命令之间的相似度，进程判断白名单中是否存在与待检测的进程执行记录的相似度大于预设相似度阈值的第一进程执行记录，若存在，则确定待检测的进程执行记录对应的进程为正常进程，若不存在，则表示待检测的进程执行记录对应的进程为异常进程，此时，可以提示用户该进程为异常进程。

其中，相似度阈值，可以根据需要任意设置，本申请对此不作限制。

举例来说，假设白名单中包括上述表2中的进程执行记录，若待检测的进程执行记录包括的进程执行命令为cat/etc/passwd，由于该进程执行命令与表2中的各进程执行记录均不相似，则可以对该进程执行命令对应的进程进行异常进程告警提示。若待检测的进程执行记录包括的进程执行命令为tar-zxvf user_upload_100000000010.tar，由于该进程执行命令与表2中的各进程执行记录相似度较高，则可以确定该进程执行命令对应的进程为正常进程，不进行事件上报。

需要说明的是，在示例性实施例中，规则引擎进行异常进程告警提示的进程，可能为正常进程，即特殊情况下规则引擎可能出现了误报，则可以将该次告警标注为误报，并将误报的进程执行记录添加到白名单中，以避免再次出现误报，由此，进一步降低了异常进程检测的误报率。

本申请实施例提供的异常进程检测方法，首先获取待检测的进程执行记录，然后根据进程执行记录以及预设的待分析条件，确定进程执行记录是否满足待分析条件，在进程执行记录满足待分析条件时，根据进程执行记录中的进程执行命令查询白名单，判断白名单中是否存在与进程执行记录相似度满足预设相似度阈值的第一进程执行记录，其中，白名单采用如第一方面实施例的进程名单生成方法生成，在白名单中未存在与进程执行记录相似度满足预设相似度阈值的第一进程执行记录时，对进程执行记录对应的进程进行异常进程告警提示，在白名单中存在与进程执行记录相似度满足预设相似度阈值的第一进程执行记录时，确定进程执行记录对应的进程为正常进程。由此，通过利用学习出的白名单检测待检测的进程执行记录是否异常，降低了检测的误报率，且扩大了检测的覆盖范围，提高了覆盖率。

下面结合图4所示的流程图，对本申请提供的进程名单生成方法和异常进程检测方法进行进一步说明。

如图4所示，主机可以实时采集并分别向大数据分析平台和规则引擎上报进程执行记录(步骤1)，大数据分析平台可以对各主机上报的进程执行记录进行离线分析，而规则引擎可以实时检测各主机上报的进程执行记录是否异常。

大数据分析平台获取各个主机上报的进程执行记录后，可以根据满足预设的待分析条件的进程执行记录，生成待分析的进程执行记录集合(步骤2)，然后，可以对进程执行记录集合中的进程执行记录按照主机标识以及父进程标识进行分组，得到各个分组(步骤3)。针对每个分组，大数据分析平台可以对分组内的各个进程执行记录按照进程执行命令之间的相似度进行聚类，得到各个簇(步骤4)，进而可以分析各个簇中进程执行记录的执行时间点分布(步骤5)，并判断簇中进程执行记录的执行时间点分布是否满足预设分布条件，若是，则将簇中的任意一个进程执行记录添加到白名单中，以生成白名单(步骤7)，若否，则将簇中的任意一个进程执行记录添加到黑名单中，以生成黑名单(步骤6)。

另外，大数据分析平台可以将白名单和黑名单推送给用户，以使用户可以根据实际需要对生成的白名单和黑名单进行修改，以通过人工干预，提高生成的黑名单和白名单的准确性(步骤8)。

然后，大数据分析平台可以将更新后的白名单推送给规则引擎(步骤9)，以使规则引擎结合白名单进行异常进程检测，并且，可以将更新后的黑名单推送给规则引擎(步骤10)，以使规则引擎根据黑名单进行异常进程告警提示。若在第二预设时间段内，未接收到用户提供的更新后的白名单和黑名单，则将大数据分析平台学习出的黑名单和白名单直接提供给规则引擎进行后续流程。

规则引擎可以拉取白名单，在获取主机上报的进程执行记录后，可以先判断进程执行记录是否满足预设的待分析条件，若满足，则根据进程执行记录中的进程执行命令查询白名单，并判断白名单中是否存在与主机上报的进程执行记录相似度满足预设相似度阈值的第一进程执行记录，若存在，则可以确定主机上报的进程执行记录对应的进程为正常进程，则可以结束流程(步骤12)。若白名单中不存在与主机上报的进程执行记录相似度满足预设相似度阈值的第一进程执行记录，则可以对主机上报的进程执行记录对应的进程进行告警提示(步骤11)。

另外，若规则引擎进行异常进程告警提示的进程，为正常进程，即特殊情况下规则引擎出现了误报(步骤13)，则可以将该次告警标注为误报，并进行人工干预，将误报的进程执行记录添加到白名单中，以避免再次出现误报，从而进一步降低异常进程检测的误报率。

通过上述过程，即可实现大数据分析平台根据各个主机上报的进程执行记录的进程执行命令之间的相似度以及进程执行记录的执行时间点分布，动态学习出进程名单，而规则引擎可以利用学习出的白名单检测待检测的进程执行记录是否异常，从而降低了检测的误报率，且扩大了检测的覆盖范围，提高了覆盖率。

与上述几种实施例提供的进程名单生成方法相对应，本申请的一种实施例还提供一种进程名单生成装置。由于本申请实施例提供的进程名单生成装置与上述几种实施例提供的进程名单生成方法相对应，因此在前述进程名单生成方法的实施方式也适用于本实施例提供的进程名单生成装置，在本实施例中不再详细描述。

图5为根据本申请一个实施例的进程名单生成装置的结构示意图。

如图5所示，该进程名单生成装置包括：第一获取模块51、第一生成模块52、分组模块53、聚类模块54、第二生成模块55。

其中，第一获取模块51，用于获取各个主机上报的进程执行记录，其中，进程执行记录包括：执行时间点、主机标识、进程属性以及父进程属性；进程属性包括：进程路径和进程执行命令；父进程属性包括：父进程标识和父进程路径。

第一生成模块52，用于根据各个主机上报的进程执行记录以及预设的待分析条件，生成待分析的进程执行记录集合，其中，待分析条件包括：执行时间点位于第一预设时间段内，进程路径中包括第一内容，且父进程路径中未包括第二内容。

分组模块53，用于对进程执行记录集合中的进程执行记录按照主机标识以及父进程标识进行分组，得到各个分组。

聚类模块54，用于针对每个分组，对分组内的各个进程执行记录按照进程执行命令之间的相似度进行聚类，得到各个簇。

第二生成模块55，用于根据各个簇中进程执行记录的执行时间点分布，生成进程名单。

具体的，本申请提供的进程名单生成装置，可以执行前述实施例中的进程名单生成方法，以根据各个主机上报的进程执行记录，动态学习出进程名单，从而降低利用进程名单进行异常进程检测的误报率，扩大检测的覆盖范围，提高覆盖率。

作为本申请实施例的另一种可能实现方式，上述聚类模块54，可以包括：

计算单元，用于针对每个分组，计算分组中任意两个进程执行记录的进程执行命令之间的相似度；

聚类单元，用于将对应的相似度满足预设相似度阈值的进程执行记录聚类在一起，得到各个簇。

作为本申请实施例的另一种可能实现方式，上述第二生成模块55，可以包括：

确定单元，用于针对每个簇，确定簇中进程执行记录的执行时间点分布；

判断单元，用于判断簇中进程执行记录的执行时间点分布是否满足预设分布条件；

第一添加单元，用于在簇中进程执行记录的执行时间点分布满足预设分布条件时，将簇中的任意一个进程执行记录添加到白名单中；

第二添加单元，用于在簇中进程执行记录的执行时间点分布不满足预设分布条件时，将簇中的任意一个进程执行记录添加到黑名单中。

作为本申请实施例的另一种可能实现方式，上述第二生成模块55，还可以包括：

推送单元，用于将白名单和黑名单推送给用户；

第一处理单元，用于在第二预设时间段内接收到用户提供的更新后白名单和更新后黑名单时，将更新后白名单和更新后黑名单作为进程名单；

第二处理单元，用于在第二预设时间段内未接收到用户提供的更新后白名单和更新后黑名单时，将白名单和黑名单作为进程名单。

作为本申请实施例的另一种可能实现方式，第一内容包括以下内容中的至少一种：BASH参数、SH参数、CMD参数、POWERSHELL参数；第二内容包括：第一内容和SSH参数。

作为本申请实施例的一种可能实现方式，进程名单生成装置还可以包括：

第一确定模块，用于确定业务场景；

第二获取模块，用于获取与业务场景对应的待分析条件；

第二确定模块，用于将与业务场景对应的待分析条件确定为预设的待分析条件。

作为本申请实施例的另一种可能实现方式，进程名单可以包括白名单和黑名单，上述进程名单生成装置，还可以包括：

第一提示模块，用于根据黑名单进行异常进程告警提示；

推送模块，用于将白名单推送给规则引擎，以结合白名单进行异常进程检测。

本申请实施例的进程名单生成装置，首先获取各个主机上报的进程执行记录，然后根据各个主机上报的进程执行记录以及预设的待分析条件，生成待分析的进程执行记录集合，再对进程执行记录集合中的进程执行记录按照主机标识以及父进程标识进行分组，得到各个分组，接着针对每个分组，对分组内的各个进程执行记录按照进程执行命令之间的相似度进行聚类，得到各个簇，最后根据各个簇中进程执行记录的执行时间点分布，生成进程名单。由此，实现了根据各个主机上报的进程执行记录的进程执行命令之间的相似度以及进程执行记录的执行时间点分布，动态学习出进程名单，进而使得通过学习出的进程名单进行异常进程检测时的误报率降低，且扩大了检测的覆盖范围，提高了覆盖率。

与上述几种实施例提供的异常进程检测方法相对应，本申请的一种实施例还提供一种异常进程检测装置。由于本申请实施例提供的异常进程检测装置与上述几种实施例提供的异常进程检测方法相对应，因此在前述异常进程检测方法的实施方式也适用于本实施例提供的异常进程检测装置，在本实施例中不再详细描述。

图6为根据本申请一个实施例的异常进程检测装置的结构示意图。

如图6所示，该异常进程检测装置包括：第三获取模块61、第三确定模块62、查询模块63、判断模块64、第二提示模块。

其中，第三获取模块，用于获取待检测的进程执行记录，其中，进程执行记录包括：执行时间点、进程属性以及父进程属性；进程属性包括：进程路径和进程执行命令；父进程属性包括：父进程路径；

第三确定模块，用于根据进程执行记录以及预设的待分析条件，确定进程执行记录是否满足待分析条件，其中，待分析条件包括：执行时间点位于第一预设时间段内，进程路径中包括第一内容，且父进程路径中未包括第二内容；

查询模块，用于在进程执行记录满足待分析条件时，根据进程执行记录中的进程执行命令查询白名单；

判断模块，用于判断白名单中是否存在与进程执行记录相似度满足预设相似度阈值的第一进程执行记录，其中，白名单采用如前述实施例提供的进程名单生成方法生成；

第二提示模块，用于在白名单中未存在与进程执行记录相似度满足预设相似度阈值的第一进程执行记录时，对进程执行记录对应的进程进行异常进程告警提示。

具体的，本申请提供的异常进程检测装置，可以执行前述实施例中的异常进程检测方法，以结合通过前述实施例的进程名单生成方法生成的进程名单，进行异常进程检测，从而降低异常进程检测的误报率，扩大检测的覆盖范围，提高覆盖率

作为本申请实施例的另一种可能实现方式，上述异常进程检测装置，还可以包括：

第四确定模块，用于在白名单中存在与进程执行名单相似度满足预设相似度阈值的第一进程执行记录时，确定进程执行记录对应的进程为正常进程。

本申请实施例提供的异常进程检测装置，首先获取待检测的进程执行记录，然后根据进程执行记录以及预设的待分析条件，确定进程执行记录是否满足待分析条件，在进程执行记录满足待分析条件时，根据进程执行记录中的进程执行命令查询白名单，判断白名单中是否存在与进程执行记录相似度满足预设相似度阈值的第一进程执行记录，其中，白名单采用如第一方面实施例的进程名单生成方法生成，在白名单中未存在与进程执行记录相似度满足预设相似度阈值的第一进程执行记录时，对进程执行记录对应的进程进行异常进程告警提示，在白名单中存在与进程执行记录相似度满足预设相似度阈值的第一进程执行记录时，确定进程执行记录对应的进程为正常进程。由此，通过利用学习出的白名单检测待检测的进程执行记录是否异常，降低了检测的误报率，且扩大了检测的覆盖范围，提高了覆盖率。

为了实现上述实施例，本申请还提出一种电子设备，图7为本申请实施例提供的一种电子设备的结构示意图。该电子设备包括：

存储器1001、处理器1002及存储在存储器1001上并可在处理器1002上运行的计算机程序。

处理器1002执行所述程序时实现上述实施例中提供的进程名单生成方法，和/或，实现上述实施例中提供的异常进程检测方法。

进一步地，电子设备还包括：

通信接口1003，用于存储器1001和处理器1002之间的通信。

存储器1001，用于存放可在处理器1002上运行的计算机程序。

存储器1001可能包含高速RAM存储器，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。

处理器1002，用于执行所述程序时实现上述实施例所述的进程名单生成方法，和/或，实现上述实施例中提供的异常进程检测方法。

如果存储器1001、处理器1002和通信接口1003独立实现，则通信接口1003、存储器1001和处理器1002可以通过总线相互连接并完成相互间的通信。所述总线可以是工业标准体系结构(Industry Standard Architecture，简称为ISA)总线、外部设备互连(Peripheral Component，简称为PCI)总线或扩展工业标准体系结构(Extended IndustryStandard Architecture，简称为EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图7中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

可选的，在具体实现上，如果存储器1001、处理器1002及通信接口1003，集成在一块芯片上实现，则存储器1001、处理器1002及通信接口1003可以通过内部接口完成相互间的通信。

处理器1002可能是一个中央处理器(Central Processing Unit，简称为CPU)，或者是特定集成电路(Application Specific Integrated Circuit，简称为ASIC)，或者是被配置成实施本申请实施例的一个或多个集成电路。

为了实现上述实施例，本申请实施例还提出一种非临时性计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上述实施例的进程名单生成方法，和/或，实现上述实施例中提供的异常进程检测方法。

为了实现上述实施例，本申请实施例还提出一种计算机程序产品，当所述计算机程序产品中的指令处理器执行时，实现如上述实施例的进程名单生成方法，和/或，实现上述实施例中提供的异常进程检测方法。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本申请的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现定制逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本申请的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本申请的实施例所属技术领域的技术人员所理解。

在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下：具有一个或多个布线的电连接部(电子装置)，便携式计算机盘盒(磁装置)，随机存取存储器(RAM)，只读存储器(ROM)，可擦除可编辑只读存储器(EPROM或闪速存储器)，光纤装置，以及便携式光盘只读存储器(CDROM)。另外，计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机存储器中。

应当理解，本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。如，如果用硬件来实现和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(PGA)，现场可编程门阵列(FPGA)等。

本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。

此外，在本申请各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。

上述提到的存储介质可以是只读存储器，磁盘或光盘等。尽管上面已经示出和描述了本申请的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本申请的限制，本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。